СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
15 июня
#ИБ#ИИ#Инфра

GrayAlpha: новая угроза с продвинутыми загрузчиками и инфраструктурой

GrayAlpha: новая угроза с продвинутыми загрузчиками и инфраструктурой

Новая кампания GrayAlpha: расширение инфраструктуры и применение сложных методов заражения

Группа Insikt недавно выявила новую инфраструктуру и вредоносное ПО, связанные с GrayAlpha — хакерской организацией, обладающей тесными связями с финтех-группой FIN7, известной своей финансовой мотивацией. Отчет раскрывает ключевые методы распространения вредоносного ПО и особенности технической реализации атак, указывающие на высокий уровень профессионализма злоумышленников.

Основные источники заражения и характер атак

В ходе анализа были выявлены три ключевых способа заражения жертв GrayAlpha:

  • Поддельные обновления браузера, маскирующиеся под легитимные приложения, включая Google Meet и SAP Concur;
  • Вредоносные страницы загрузки в формате 7-Zip, которые продолжают активно использоваться по состоянию на апрель 2025 года;
  • Система распределения трафика (TDS) под названием TAG-124, ранее не ассоциировавшаяся с GrayAlpha.

Методики заражения демонстрируют структурированный и продуманный подход: вредоносные скрипты снимают отпечатки с зараженных систем, анализируют окружение и затем осуществляют целенаправленные запросы к вредоносным доменам. В частности, поддельные обновления программного обеспечения имитируют работу популярных сервисов, что повышает доверие пользователей и способствует успешному внедрению вредоноса.

Новые загрузчики PowerShell: PowerNet и MaskBat

Особое внимание экспертов вызвали два новых загрузчика PowerShell, используемых в кампаниях GrayAlpha:

  • PowerNet — предназначен для распаковки и запуска трояна удаленного доступа NetSupport RAT непосредственно из пакетов формата MSIX. Этот загрузчик проверяет, принадлежит ли хост системе корпоративного домена, что помогает избежать обнаружения в изолированных или лабораторных условиях;
  • MaskBat — новый вариант FakeBat, который запускается из MSIX без промежуточных этапов. Он использует продвинутые методы обфускации и также доставляет NetSupport RAT, эффективно обходя современные средства защиты.

Оба загрузчика используют сходную инфраструктуру управления и контроля (C2), а также связаны с серийными номерами сертификатов, общими с FIN7. Это свидетельствует о прочных связях между группами и расширенном использовании многослойных техник для обеспечения устойчивости кампаний.

TAG-124 и экосистема киберпреступности

Использование TDS TAG-124 подчеркивает интеграцию GrayAlpha в более широкую киберпреступную экосистему. Данная система активно поддерживает несколько групп, используя взломанные сайты на базе WordPress для продвижения вредоносного трафика и эффективного распространения пейлоадов. Несмотря на то, что непосредственная связь TAG-124 и GrayAlpha пока не подтверждена, их совместное использование инфраструктуры создает дополнительные риски и сложности в борьбе с подобными атаками.

Характеристика группы GrayAlpha

Несмотря на то, что GrayAlpha официально не относится к классу APT, ее действия демонстрируют высокий уровень технической изощренности и устойчивости, характерный для сложных целевых атак. Группа использует:

  • сложные методы обфускации и многоэтапные цепочки загрузки вредоносного ПО;
  • целевые проверки окружения потенциалов жертв;
  • широкую инфраструктуру с элементами общей серверной базы со FIN7;
  • постоянное обновление и адаптацию тактик для обхода антивирусных решений.

Такой комплексный подход делает GrayAlpha опасным игроком на поле киберпреступности, особенно учитывая текущий дефицит эффективного международного сотрудничества правоохранительных органов.

Рекомендации Insikt Group для защиты организаций

С учётом анализа экспертов Insikt Group организации, особенно в финансовом и корпоративном секторах, должны обратить внимание на следующие меры защиты:

  • внедрение списков разрешенных приложений (whitelisting) для уменьшения риска запуска нежелательного ПО;
  • повышение уровней обучения сотрудников для своевременного распознавания подозрительных действий и вредоносных обновлений;
  • использование продвинутых средств обнаружения и мониторинга для упреждающего выявления и нейтрализации возможных заражений;
  • постоянный аудит и обновление систем безопасности с целью противодействия эволюционирующим техникам злоумышленников.

В условиях возрастания активности хакерских групп, подобных GrayAlpha, комплексный и адаптивный подход к кибербезопасности становится необходимым элементом устойчивости бизнеса и защиты критически важной инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: